信息是一家機構(gòu)的資產(chǎn)�����,與其它資產(chǎn)一樣�,應(yīng)受到保護。信息安全的作用是保護信息不受大范圍威脅所干擾�����,使機構(gòu)業(yè)務(wù)能夠暢順��,減少損失及提供最大的投資回報和商機���。信息可以有多種存在方式�,可以寫在紙上���、儲存在電子文檔里�,也可以用郵遞或電子手段發(fā)送,可以在電影上放映或者說話中提到�����。無論信息以何種方式表示�、共享和存儲,都應(yīng)當(dāng)適當(dāng)?shù)乇Wo起來��。
信息及其支持進程�、系統(tǒng)和網(wǎng)絡(luò)是機構(gòu)的重要資產(chǎn)。信息的保密性�����、完整性和可用性對機構(gòu)保持競爭能力����、現(xiàn)金流�����、利潤���、守法及商業(yè)形象至關(guān)重要����。但機構(gòu)及其信息系統(tǒng)和網(wǎng)絡(luò)也越來越要面對來自四面八方的威脅,如計算機輔助的詐騙���、間諜��、破壞���、火災(zāi)及水災(zāi)等。損失的來源如計算機病毒���、計算機黑客及拒絕服務(wù)攻擊等手段變得更普遍�����、大膽和復(fù)雜�。 很多信息系統(tǒng)沒有設(shè)計得很安全�����。利用技術(shù)手段獲得的安全是受限制的�,因而還應(yīng)該得到相應(yīng)管理和程序的支持。選擇使用那些安全控制需要事前小心周密計劃和對細節(jié)的關(guān)注。信息安全管理至少需要機構(gòu)全體員工的參與�����,同時也應(yīng)讓供應(yīng)商�����、客戶或股東參與��,如果有必要����,可以向外界尋求專家的建議。對信息安全的控制如果融合到需求分析和系統(tǒng)設(shè)計階段����,則效果會更好,成本也更便宜����。
完整的企業(yè)信息系統(tǒng)安全管理體系首先要建立完善的組織體系�,完成制定并發(fā)布信息安全管理規(guī)范和建立信息安全管理組織等工作,保障信息安全措施的落實以及信息安全體系自身的不斷完善���。并建立一套信息安全規(guī)范����,詳細說明各種信息安全策略。一個詳細的信息安全規(guī)劃可以減輕對于人的因素帶來的信息安全問題�。
企業(yè)應(yīng)當(dāng)制定企業(yè)人員信息安全行為規(guī)范,必須有專門管理人才�,才能有效地實現(xiàn)企業(yè)安全、可靠���、穩(wěn)定運行�����,保證企業(yè)信息安全��。教育培訓(xùn)是培訓(xùn)信息安全人才的重要手段�,企業(yè)可以對所有相關(guān)人員進行經(jīng)常性的安全培訓(xùn)�����,強化技術(shù)人員對信息安全的重視�,提升使用人員的安全觀念,有針對性的開展安全意識宣傳教育����,逐步提高員工的安全意識�����,強調(diào)人的作用��,使他們明確企業(yè)各級組織和人員的安全權(quán)限和責(zé)任��,使他們的行為符合整個安全策略的要求��。
..
|
